Une faille de sécurité dans LazyPay a été corrigée et peut avoir été utilisée pour obtenir des informations utilisateur sensibles.

LazyPay, une plate-forme de crédit numérique de la société fintech néerlandaise PayU, présente des failles de sécurité qui pourraient permettre aux pirates de récupérer des données utilisateur telles que le nom, le sexe, la date de naissance et le numéro de téléphone. Il s’est avéré. chercheur. Il a déclaré à Gadgets 360 que le problème avait été résolu peu de temps après avoir été signalé à PayU et que la société a confirmé la vulnérabilité mais n’a pas divulgué de données utilisateur. Cependant, LazyPay n’a pas informé l’utilisateur de la faille et de son correctif.

Ehraz Ahmed LazyPay, basé à Bangalore. Il a déclaré que la faille permettait à un attaquant d’utiliser le numéro de téléphone d’un utilisateur enregistré sur la plate-forme pour obtenir des informations sensibles sur l’utilisateur.

Une fois le numéro de téléphone obtenu, un attaquant pourrait obtenir des données telles que le nom, le sexe, la date de naissance, l’adresse, la photo de profil, les adresses e-mail principale et secondaire, le statut de vérification du client (KYC) et ahmed. Description Dans un article de blog.

Ce problème est dû au fait qu’il peut facilement écrire un programme permettant à un pirate informatique doté de compétences minimales en programmation de prendre un ensemble de numéros de téléphone et de les transmettre à une API non sécurisée pour extraire des informations utilisateur sensibles de manière automatisée. Il a ajouté qu’il était vulnérable. Les chercheurs ont déclaré à Gadgets 360 qu’ils avaient trouvé une faille en trompant l’un des points de terminaison d’API fournis par LazyPay aux développeurs tiers.

Immédiatement après avoir découvert la vulnérabilité en octobre, Ahmed a contacté les parents de LazyPay. PayU.. La société a reconnu ce problème et l’a immédiatement résolu de manière responsable. Ahmed a contacté Gadget 360 avec les détails du défaut fin mai. Après avoir compris le problème, j’ai contacté PayU pour clarifier davantage le problème.

Un porte-parole de PayU a évoqué cette faille et a assuré à Gadgets 360 que le correctif avait déjà été apporté.

« PayU prend la sécurité de nos systèmes et de nos données très au sérieux », a déclaré un porte-parole. «Nous effectuons continuellement des vérifications pour nous assurer que notre système de paiement est sûr et sécurisé pour que tout le monde puisse y accéder et l’utiliser. Concernant la faille de sécurité avec LazyPay signalée en octobre. L’affaire a été résolue immédiatement. Il n’y a eu aucune fuite d’informations sur les clients en raison de cette affaire. “

Cependant, l’entreprise n’a pas informé directement les clients des incidents qui ont compromis les données personnelles.

Lancé en 2017, LazyPay est proposé en tant que service « Acheter maintenant, payer plus tard » fourni par PayU, permettant aux clients de rembourser leurs commandes en ligne en plusieurs fois. La plate-forme est acceptée par plus de 250 sites Web et applications, notamment BookMyShow, Flip cart, MakeMyTrip. , et Swiggy ..

LazyPay propose également des prêts personnels jusqu’à Rs. 10 000 roupies grâce à un processus numérique. Les clients qui s’inscrivent à la plate-forme sont tenus de fournir une pièce d’identité avec photo telle que PAN ou Aadhaar, des coordonnées bancaires et un selfie.


Êtes-vous intéressé par les crypto-monnaies? Discutez de tout sur la cryptographie avec Nischal Shetty, PDG de WazirX, et Alok Jain, fondateur de Weekend Investing. Orbit, Gadget 360 Podcast. Les orbites sont disponibles sur Apple Podcasts, Google podcast, Spotify, Amazon music Partout où vous pouvez obtenir un podcast.

https://gadgets.ndtv.com/internet/news/lazypay-security-flaw-vulnerability-fix-payu-2465220#rss-gadgets-all Une faille de sécurité dans LazyPay a été corrigée et peut avoir été utilisée pour obtenir un utilisateur sensible information.